Kali linux如何做釣魚網站！

工具需要：Kali linux

瀏覽器：谷歌

實驗環境：PC 與 筆記本

Kali linux作為一個新手期的工具包系統。我希望每個嚮往的人都可以下載研究一下。今天就簡單的說下如何用Kali linux 搭建一個高仿Twitter！

網路釣魚雖然不屬於網站漏洞，但是目前受害者也是非常大量的。網路釣魚屬於社交工程的一種。

社交工程，也就是利用人的信賴心理，透過偽冒的資訊對受害者進行攻擊的手法，偽冒的資訊可能是郵件、電話或網頁等等，諸如此類利用人的心理來進行詐騙的手法，都可以稱為社交工程

社交工程的手法有幾種，例如：

• 電子郵件中夾帶著木馬程式或病毒，再利用能吸引人的標題或文字來讓被害者點擊。
• 利用偽冒的網站誘騙受害者到網站中輸入機敏資料，也是我們這次要介紹的。
• 偽裝成修復程式通知，使被害者進行下載執行，此程式可能是木馬或是病毒。
• 利用開啟網站就能下載的功能，使被害者點開後就直接進行下載並安裝後門程式。

以上幾種，或是更多類似這種類型的都屬於社交工程的手法。

這次我們會示範架設一個假的網站，從黑客的角度去看這個嚴重的網路犯罪，以藉此提高往後你在輸入個人資料時的警戒心。

我們一樣以Kali Linux作業系統來進行操作

這次我們用的工具是Setoolkit

可以利用Github來進行下載

這次示範Fake Twitter

利用指令開啟setoolkit

接著進入set主頁，總共有六個選項

接著我們選擇第一項，其餘的對我們目前沒有太大的幫助

例如第二個是set附帶的滲透測試工具，不過這並非是最好的滲透測試，我們有其他更好的工具能夠使用

大致說明一下

1. 魚叉式社交電子郵件攻擊
2. 利用偽造網站的社交工程攻擊
3. 惡意檔案產生器
4. 建立攻擊載荷及接收程式
5. 發送大量郵件(EmailBomb)
6. 有關Arduino平台的攻擊手法
7. 無線基地台偽冒
8. 產生惡意QRCode
9. 針對微軟Powershell語法的攻擊手法
10. 第三方提供的功能模組

我們這次介紹偽造網站的社交工程攻擊，所以選擇2

1. 利用JAVA漏洞進行攻擊 （JAVA1.7曾經有漏洞）
2. Metasploit瀏覽器攻擊
3. 認證獲取攻擊
4. 標籤劫持攻擊
5. 網站劫持攻擊
6. 綜合攻擊
7. 全屏攻擊
8. HTA攻擊

我們選擇第三個來進行偽造網站

1. 使用現有的知名網站做為模板，例如Google、Yahoo、Facebook、Twitter
2. 使用指定網站，讓SET自行去抓指定網站的模板，如果因為國家語言不同，建議使用第二種，能在網址的地方變換語言
3. 使用者自行載入網頁，在此網頁加入模板

這次範例選擇的是第二個

在此會要求你輸入IP，做好偽冒網站後要打在網址上的

因為這次只是示範，所以只打上內網的IP

接著輸入要偽造的網站網址

接著就建立這個剛做好的偽冒網站

到compute/var/www這裡會有建立好的資料(index.html、post.php)

接著把這兩個資料放入html這個資料夾內

在瀏覽器中打上IP即可顯示剛完成的結果

與正常的Twitter相比之下，若沒有注意就會不小心輸入了。

甚至能夠利用第三方將自己的IP改為相似的網址，使受害者更加相信。

大致說明如何預防：

• 不輕易的點開不明的電子郵件，尤其是像QQ.微信[各種萬能刷的網站，各種小動作片危險網站提示]
  注意輸入機敏資訊的網站網址

  也要小心好友傳來的不名網站或軟體，有可能已經被盜用！

• 文章首發與：』Night - Quora

推薦閱讀：